Les enjeux de la nouvelle norme NIS 2 pour la cybersécurité des entreprises

Tic-tac, tic-tac... L'horloge de la conformité égrène ses secondes. Le 17 octobre 2024, un tournant majeur attend les entreprises françaises : l'entrée en vigueur de la directive européenne NIS 2 sur la sécurité des réseaux et systèmes d'information. Plus de 10 000 structures nationales sont concernées. À la clé, un renforcement significatif des obligations en matière de cybersécurité. Êtes-vous prêts ?

NIS 2 : Un Big Bang réglementaire pour la cybersécurité

NIS 2, c'est le digne successeur de NIS 1, la première directive européenne sur la cybersécurité datant de 2016. Mais cette nouvelle mouture change drastiquement la donne. Fini le laxisme et les disparités entre États membres. Place à l'harmonisation et au durcissement des exigences :

• Élargissement du périmètre : Toutes les entreprises de plus de 50 salariés réalisant plus de 10 millions d'euros de CA sont soumises à NIS 2.
• 23 mesures de sécurité obligatoires : Authentification multi-facteurs, chiffrement des données, sauvegardes... Un véritable programme de mise en conformité attend les organisations.
• Notification des incidents : Les cyberattaques devront être signalées sous 24h aux autorités compétentes comme l'Anssi en France.

NIS 2 concerne l'ensemble de la chaîne économique, y compris les sous-traitants, pour être résilient.

Jean-Noël de Galzain, président de l'association Hexatrust

Des sanctions financières dissuasives

Le non-respect de NIS 2 exposera les entreprises à de lourdes sanctions. Jusqu'à 10 millions d'euros d'amende ou 2% du chiffre d'affaires annuel. De quoi motiver les retardataires à mettre les bouchées doubles. Mais pas de panique, une période de tolérance de 2 à 3 ans est prévue après la transposition en droit français.

Un défi de taille pour les entreprises

Mettre en œuvre les 23 mesures de sécurité, instaurer une gouvernance, former les équipes... Se mettre en conformité avec NIS 2 n'est pas une mince affaire. D'autant que beaucoup partent de loin. Actuellement en France :

• Le budget moyen alloué à la cybersécurité représente seulement 5% des dépenses IT (contre 10% recommandés).
• Seules 1% des PME ont souscrit une assurance cyber.

Les entreprises vont devoir mettre un sérieux coup d'accélérateur pour combler leur retard. Au risque sinon de voir leur responsabilité engagée en cas d'incident, avec à la clé de possibles faillites comme celles de Clestra ou Clermont Pièces.

Des aides au rendez-vous

Heureusement, les entreprises ne sont pas seules. Le gouvernement et les régions ont mis en place plusieurs dispositifs pour les accompagner :

• Le Diag Cybersécurité de Bpifrance : un état des lieux complet des forces et faiblesses de l'entreprise, réalisé par un expert, à moitié financé par la banque publique.
• Des subventions régionales et nationales : jusqu'à 80 000€ pour financer sa mise en conformité dans les secteurs critiques comme l'aéronautique ou l'énergie.

Alors, prêts à relever le défi NIS 2 ? Les prochains mois s'annoncent intenses pour bâtir une économie numérique plus résiliente. Une chose est sûre, la cybersécurité n'a jamais autant été un enjeu business !